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I. Basis of the report 

1 . This report has been prepared on the basis of (substitute 

sheets which have been furnished to the receiving Office in response to an invitation under Article I 4 are 
referred to in this report as "originally filed" and are not annexed to the report since they do not contain 
amendments): 

the Specification, pages 1-12 as originally filed 
the Claims, nos. 1 as originally filed 

V. Substantiated determination according to Article 35(2) with respect to 
novelty, inventive activity and industrial applicability; documents and 
clarifications in support of this determination 

L DETERMINATION 



Novelty 

Inventive Activity 
Industrial Applicability 



Claims 1 YES 

Claims NO 

Claims 1 YES 

Claims NO 

Claims 1 YES 

Claims NO 



2. DOCUMENTS AND CLARIFICATIONS 

See enclosure. 



VII. Specific Shortcomings of the International Application 

It was determined that the International Application has the following shortcomings with regard to form or 
FF01 24798 v 1 



content: 

see enclosure 
With respect to Point V 

Substantiated determination according to Article 35(2) with respect to novelty, 
inventive activity and industrial applicability; documents and clarifications in 
support of this determination 

1. Reference is made to the following document: 
Dl: EP-A-0 685 792 

2. The object of the present invention is to provide a method for checking Java 
byte code programs to check for safety properties in accordance with the 
principle of byte code verification, to ensure greater safety in executing such 
Java byte code programs. 

This objective is achieved in accordance with the present invention in that the 
Java byte code program is transferred to a model checker, and the latter 
formally checks to determine whether the program fulfills certain safety 
properties. To make this possible, first the generally infinite state space of the 
Java byte code program must be mapped onto another suitable system having a 
finite number of states that the model checker is able to work with. This is 
accomplished in that all information, which is not needed, is rejected to 
determine whether the original byte code program is acceptable. This is done 
by replacing the concrete data values of the Java byte code program by abstract 
type information. The resulting state transition system thus possesses a finite 
quantity of states and can be processed by a model checker. 

The subject matter of the present invention is distinguished from the teaching 
of document Dl in that the problem definition with respect to the safety of Java 

FF01 24798 v 1 2 
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byte code programs is neither identified in Dl nor is reference to a possible 
solution to the problem definition made in Dl. Although the teaching of 
document Dl does, in fact, generally identify the problem definition of 
formally verifying systems on the basis of a model checker, and discloses an 
algorithm for reducing the state space of such systems to be verified, no 
reference is made as to how the algorithm described in Dl can be applied in the 
specific case to the verification of safety properties of Java byte code programs. 
Above all, no indication is given of being able to reduce the state space of Java 
byte code programs by replacing the specific data values by abstract type 
information. 

Thus, the present International Application fulfills the requirements of Article 
33(2) and (3) PCT with respect to novelty and inventive activity. 

With respect to Point VII 

Specific shortcomings of the International Application 

1. In contradiction to the requirement of regulation 5.1a) ii) PCT, neither the 
relevant related art disclosed in document Dl nor this document is provided in 
the Specification. 

2. The independent Claim 1 is, in fact, formulated in the two-part form; however, 
all features except for "wobei alle nicht fur die Zulassigkeit ... welche in einen 
Modelchecker eingegeben werden" [all information not needed for the 
acceptability ... which is input into a model checker] are incorrectly specified 
in the characterizing part, since they were disclosed in document Dl (regulation 
6.3 b) PCT). 



FF01 24798 v 1 



The following typographical errors in the International Application should be 
corrected: 

3 



(a) In Claim 1, line 12, "Zustandsubergangssystem" [state transition system] 
should be corrected to read "Zustandsubergangssystem" [state transition 
system]. [Translator's note: there is no difference between the two terms 
here.] 

(b) In Claim 1, line 20, "ob ob" [whether whether] should be corrected to read "ob" 
[whether]. 
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(54) Title: METHOD FOR CHECKING JAVA BYTE CODE PROGRAMMES FOR SECURITY CHARACTERISTICS 

(54) Bezeichnung: VERFAHREN ZUR PRUFUNG VON JAVA-BYTECODE-PROGRAMMEN AUF SICHERHEITSEIGEN- 
SCHAFTEN 

(57) Abstract 

The invention relates to a method for checking Java byte code programmes for security characteristics. The technical aim of the 
invention is to provide a method for guaranteeing the best possible security in checking the security characteristics of byte code programmes. 
According to the invention, the mode of operation of the byte code programme being checked is configured for a finite status transition 
system (M) and the state space of the JVM is configured for a finite quantity of states in M. After being entered into a model checker, 
the data of the status transition system (M) is compared with the data in the model checker, the data in the model checker having been 
entered as a set of conditions (S) for the characteristics of a reliable byte code programme. The byte code programme being checked is only 
released for further processing if the status transition system (M) fulfils all of the conditions of the set (S). The invention therefore provides 
a means of guaranteeing the security of byte code programmes and with additional enhancements, can guarantee a certain functionality. 
This increases the reliability of applications which are run on security-critical platforms such as smart cards. 

(57) Zusammenfassung 

Die technische Aufgabe ist auf ein Verfahren ausgerichtet, das eine hochstmogliche Sicherheit bei der Uberprufung von 
Sicherheitseigenschaften von Bytecode-Programmen gewahrleistet. ErfindungsgemaB wird die Funktionsweise des zu prufenden 
Bytecode-Programms auf ein endliches Zustandsubergangssystem (M) und der Zustandsraum der JVM auf eine endliche Menge von 
Zustanden in M ausgebildeL Nach Eingabe in einen Modelchecker werden die Daten des endlichen Zustandsubergangssystem (M) mit den 
im Modelchecker als Bedingungsmenge (S) eingegebenen Daten fur Eigenschaften die ein zulassiges Bytecode-Programm kennzeichnen, 
verglichen. Das zu uberpriifende Bytecode-Programm wird nur zur weiteren Verarbeitung freigegeben, wenn das Zustandsubergangssystem 
(M) alle Bedingungen der Bedingungsmenge (S) erfullt Durch die beschriebene Technik kann die Sicherheit von Bytecode-Programmen 
garantiert und durch zusatzliche Erweiterungen eine gewisse Funktionalitat zugesichert werden. Damit kann das Vertrauen in Anwendungen 
erhaht werden, die auf sicherheitskritischen Plattformen wie Smartcards ablaufen sollen. 
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Verfahren zur Prufung von Java-Bytecode-Programmen auf Sicherheitseigenschaften 



Beschreibung: 

Die Erfindung betriffi ein Verfahren zur Prufung von Java-Bytecode-Programmen auf 
Sicherheitseigenschaften nach dem Patentanspruch 1. 

Java ist eine von Sun Microsystems entwickelte Programmiersprache, die in sog. Bytecode- 
Programme ubersetzt wird. Obwohl urspriingiich fur Java entworfen, eignet sich Bytecode 
aueh^ls Zielsprache fur andere Programmiersprachen, und es gibt bereits entsprechende 
Compiler (z. B. fur Ada). 

Das besondere Konzept von Java besteht darin, Programme im Netz abzulegen und von 
Netzteilnehmern abrufen zu lassen, urn sie auf einem Gerat des Netzteilnehmers ablaufen zu 
lassen. Dies unterstiitzt z. B. die Konfiguration und Wartung von Geraten aus der Feme, ist 
aber auch im Zusammenhang mit Smartcards interessant, deren Funktionalitat sich auf diese 
Weise erweitern laBt. Bytecode-Programme haben folgende Eigenschaften, die fur ihren 
Einsatzzweck bedeutend sind: 

• Bytecode-Programme sind kompakt. Bytecode-Instruktionen bieten wesentlich mehr 
Funktionalitat als z. B. Instruktionen von Maschinensprachen. Durch die Anlehnung an 

20 Java werden Konzepte wie Objektorientierung direkt unterstiitzt. 

• Bytecode-Programme konnen effizient interpretiert werden. Dies verleiht solchen 
Programmen Unabhangigkeit von einer bestimmten Zielmaschine. Vorausgesetzt wird 
lediglich ein Interpreter (die sog. "Java virtual machine", JVM) auf der Zielmaschine, 
um beliebige Bytecode-Programme ausfuhren zu konnen. Dieser Interpreter kann selbst 

25 kompakt implementiert und in (fast) jedes Gerat integriert werden. 

Die JVM interpretiert eine Eingabe in Form einer Folge von Zeichen als Bytecode- 
Programm. Die JVM nimmt dabei keine Priifungen vor, ob es sich bei der Zeichenfolge 
tatsachlich um ein Bytecode-Programm handelt. Sie verarbeitet die Zeichen als Bytecode- 
Befehle, ohne eine genauere Prufung auf ihre Korrektheit durchzufuhren. Die JVM 
verzichtet auf eine Uberprufung des Bytecodes, da sonst die Ausfuhrungsgeschwindigkeit 
erheblich leiden wurde'Prinzipien ist es also moglich, eine beliebige Folge von Zeichen als 
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Bytecode-Programm interpretieren zu lassen. Dadurch ware es auch moglich - bei 
genauerer Kenntniss der Implementierung der JVM - ihre Sicherheitsmechanismen zu 
umgehen und damit z. B. auf dem ausfuhrenden Rechner Daten auszuspahen. Ein sicheres 
Bytecode-Programm kann dagegen aufgrund des Sprachentwurfs und der IVM auf Daten 
und Ressourcen des Zielrechners nur zugreifen, indem es dafiir Funktionen der JVM in 
Anspruch nimmt. 

Urn zu verhindern, daB Zeichenfolgen verarbeitet werden, die keine zulassigen (sicheren) 
JBytecode-Programme darstellen, ist der JVM ein ProzeB vorgeschaltet, der eine 
Zeiqhe^folge auf Konformitat zu gewissen Anforderungen uberpriift, die sog. Bytecode- 
VerSfkation. Diese Anforderungen garantieren, daB erne Zeichenfolge ein sicheres 
Bytecode-Programm darstellt. Da diese Uberprufung nur einmal vorgenommen werden 
muB, entstehen zur Laufzeit keine Nachteile bzgl. der Ausfuhrungsgeschwindigkeit. 
Der ProzeB der Bytecode-Verifikation priift eine Folge von Zeichen daraufhin, ob sie ein 
zulassiges Bytecode-Programm darstellt und damit ohne Gefahr for die Integritat des 
ausfuhrenden Gerats der JVM zur Interpretierung ubergeben werden kann (siehe T. 
Lindholm, F. Yellin „The Java Virtual Machine Specification"; Sun Microsystems; Addison- 
Wesley, 1996. 

Ein zulassiges Bytecode-Programm ist durch gewisse Eigenschaften gekennzeichnet, die in 
T. Lindholm, F. Yellin: The Java Virtual Machine Specification. Sun Microsystems, 1996 
als "structural constraints" beschrieben werden. Im wesentlichen beschreiben sie die 
Typsicherheit eines Bytecode-Programms, d. h. in einem Bytecode-Programm sind die 
Instruktionen so angeordnet, daB eine Instruktion stets solche Daten als Parameter 
bekommt, die ihrem.Typ nach dem entsprechen, was die Instruktion erwartet. Diese 
Eigenschaften stellen sicher, daB das Bytecode-Programm unter Kontrolle der JVM bleibt 
und z. B. nicht direkt auf Rechnerressourcen zugreifen kann. 

Der ProzeB der Bytecode-Verifikation ist durch zwei Gegebenheiten beschrieben: erstens 
durch die Beschreibung der Eigenschaften, die er for ein Bytecode-Programm zusichern 
soli; zweitens durch die Implementierung des Prozesses (dabei handelt es sich urn ein C- 
Programm). Beide Beschreibungen eignen sich nicht, urn formale, maschinelle 
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Berechnungen durchzufiihren und damit die Sicherheit von Bytecode-Programmen formal 
zu garantieren. 

Weiterhin ist ein mit Modelchecker bezeichnetes Werkzeug zur Untersuchung von 
Zustandsubergangssystemen bekannt (siehe K. L. Mc Millan ^Symbolic Model Cheking" 

5 Kluwer Academic Publishers, 1993). 

Zustandsiibergangssysteme sind ein allgemeines Modell fur Programme, die auf Rechnern 
oder anderen Maschinen (wie der JVM) ablaufen. Dabei betrachtet man die Zustande, die 
die Maschine wahrend der Ausfiihrung des Programmes einnimmt und welche Ubergange, 
d. h. Zustandsanderungen, dabei moglich sind. 

10 Modelchecking ist eine Technik, mit der nur endliche Zustandsiibergangssysteme untersucht 
wer^i konnen. Ein Modelchecker untersucht dafur den gesamten Zustandsraum des 
Systems, um Eigenschaften des Systems zu berechnen. Eine verbreitete Anwendung von 
Modelcheckern ist, ein System daraufhin zu priifen, ob es gewisse Eigenschaften erftillt. Der 
Modelchecker benotigt dafiir als Eingabe eine Beschreibung des Systems, das untersucht 

15 werden soil so wie die Beschreibung von Eigenschaften, deren Giiitigkeit im System 

festgestellt werden soil. In beiden Fallen handelt es sich um formale Beschreibungen, d. h. 
Beschreibungen, deren formale Semantik feststeht, und auf denen somit mathematische 
Berechnungen durchgefuhrt werden konnen. 

20 Im allgemeinen besitzen Software-Systeme auch Bytecode-Programme einen unendlichen 
Zustandsraum. Das bedeutet, daB das Verfahren des Modelchecking auf Bytecode- 
programme, die durch einen unendlichen Zustandsraum gekennzeichnet sind, nicht 
anwendbar ist. 

25 Die technische Aufgabe ist auf ein Verfahren ausgerichtet, das eine hdchstmogliche 

Sicherheit bei der Uberpriifung von Sicherheitseigenschaften von Bytecode-Programmen 
gewahrleistet 

Ausgangspunkt des erfindungsgemaBen Verfahrens ist der Sachverhalt, daB ein Bytecode- 
30 Programm eine Folge von Zeichen (Bytes) beinhaltet, wobei jedes Zeichen entweder als 
Instruktion oder als Datum (als Eingabe fur die vorhergehende Instruktion) interpretiert 
wird. Ein Bytecode-Programm stellt somit eine Folge von Instruktionen und zugehorigen 
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Daten dar. Ein Bytecode-Programm kann damit auch als Beschreibung eines 
Zustandsubergangssystems gedeutet werden, das Zustande der JVM transformiert. Die 
Zustande des Systems werden mit den Zustanden der JVM identifiziert und die Ubergange 
durch die Instruktionen des Programms festgelegt. 

ErfindungsgemaB wird das oben beschriebene Zustandsubergangssystem (mit potentiell 
unendlichem Zustandsraum) durch eine geeignete Abbildung auf ein System mit einer 
endlichen Anzahl von Zustanden abgebildet. Diese Abstraktion auf eine endliche Anzahl von 
Zustanden wird dadurch erreicht, daB das System alle Informationen verwirft, die nicht 
benotigt werden, urn festzustellen, ob das urspriingliche Bytecode-Programm zulassig ist. 
Di5|eschieht im wesentlichen dadurch, daB die konkreten Datenwerte durch reine 
Typinformationen ersetzt werden. Der Ersatz der konkreten Datenwerte durch reine 
Typinformationen ist moglich, weil die Zulassigkeit eines Bytecode-Programms nicht von 
konkreten Werten abhangt. Dabei bleiben aber alle Informationen, die notwendig sind, urn 
die Zulassigkeit des Bytecode-Programms nachzuweisen, erhalten. Das resultierende 
Zustandsubergangssystem M besitzt eine endliche Menge von Zustanden und erfullt damit 
die Grundbedingung for die Bearbeitung in einem Modelchecker. Das resultierende 
Zustandsubergangssystem M wird in den Modelchecker eingegeben. 
In einem weiteren Schritt werden die Eigenschaften, die wie in T. Lindholm, F. Yellin: The 
Java Virtual Machine Specification. Sun Microsystems, 1996 als "structural constraints" 
beschrieben, ein zulassiges Bytecode-Programm kennzeichnen, in einer Logik formuliert, 
die der Modelchecker als Spezifikationssprache fur Systemeigenschaften versteht. Das 
Ergebnis ist eine Menge von Formeln, die dem Modelchecker als Bedingungsmenge S als 
Vergleichsbasis fur das Zustandsubergangssystem M iibergeben werden. Aufgrund der o.g. 
Verfahrensweise ist gewahrleistet, daB sich die Formeln nur auf Informationen beziehen, 
die sowohl im urspriinglichen, potentieU zustandsunendlichen System, als auch im daraus 
gewonnenen zustandsendlichen System vorhanden sind. 

Der Modelchecker wird mit den eben beschriebenen Eingaben gestartet. Als Ergebnis liefert 
er die Information, ob das Zustandsubergangssystem M die in der Spezifikationssprache als 
Bedingungsmenge S in Form von.Formeln beschriebenen Systemeigenschaften erfullt. 
Dabei priift cfer Modelchecker for jede Bedingung s der Bedingungsmenge S, ob sie vom 
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Zustandsubergangssystem M des zu priifenden Bytecode-Programms erfullt ist. Wenn das 
der Fall ist, so ist sichergestellt, daB es sich bei dem urspriinglichen Bytecode-Programm urn 
ein zulassiges Programm handelt, das die Sicherheit des ausfiihrenden Rechners nicht 
bedroht. Das Bytecode-Programm wird zur weiteren Bearbeitung durch den Rechner 
5 freigegeben. 

Erfullen die im Zustandsubergangssystem M erfaBten Daten des zu priifenden Bytecode- 
Programms jedoch nicht die in der Bedingungsmenge S in Form von Formeln beschriebenen 
Systemeigenschaften, die ein Bytecode-Programm kennzeichnen, ist grundsatzlich davon 
auszugehen, daB das gepriifte Bytecode-Programm die Sicherheit des Rechners bedrohen 
10 kann Das gepriifte Bytecode-Programm wird nicht zur weiteren Bearbeitung freigegeben.. 

W 

Das erfindungsgemaBe Verfahren wird nachfolgend naher erlautert: 

Zweck der "Bytecode-Verifikation" ist es, eine Klassendatei, also die Einheit, in der eine 

Java-Klassenbeschreibung zusammengefaBt ist, auf sichere Ausfiihrbarkeit zu priifen. Dazu 

15 werden die einzelnen Methoden der Klasse (hier Bytecode-Programme genannt) einzeln 
herausgelost und der eigentlichen Bytecode-Verifikation unterzogen. 
Eine Klassendatei enthalt zusatzliche Daten, im wesentlichen Konstanten, auf die in den 
Bytecode-Programmen Bezug genommen wird. Fur die folgenden Schritte ist es vorteilhaft, 
diese Referenzen in den Bytecode-Programmen aufzulosen und in die Programme 

20 einzuarbeiten, bevor mit der eigentlichen Priifung begonnen wird. 

Durch diese Vorverarbeitung erhalt man eine Beschreibung der Bytecode-Programme, die 
sich nicht wesentlich von der urspriinglichen Form unterscheidet 

25 Die JVM, der Standard-Interpreter fur Bytecode-Programme, ist durch eine abstrakte 
Maschine, d.h. eine Menge von Zustanden, beschrieben. Die Ausfiihrung eines Bytecode- 
Programms entspricht der Interpretation von Bytecode-Instrukttonen durch 
Zustandsubergange. Eine Bytecode-Instruktion bewirkt dabei eine Transformation des 
aktuellen Zustands der JVM in einen neuen Zustand. 

30 

Ein Bytecode-Programm definiert also ein Zustandsubergangssystem, wobei der 
Zustandsraum durch die JVM festgelegt ist und die Ubergange durcbdie Instruktionen des 
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Bytecode-Programms bestimmt werden. Dieses Zustandsiibergangssystem besitzt einen 
potentiell unendlichen Zustandsraum. Deshalb ist es nicht geeignet, um von einem 
Modelchecker untersucht zu werden. Dazu muB es auf ein endliches 
Zustandsiibergangssystem M abgebildet werden. Diese Abbildung wird im folgenden 
5 beschrieben. 

Es wird nicht zunachst ein unendliches Ubergangssystem konstruiert, das anschlieBend auf 
ein endliches abgebildet wird. Vielmehr wird aus dem Bytecode-Programm direkt ein 
endliches Zustandsiibergangssystem M konstruiert, unter Verwendung von Regeln, die das 

10 Verhalten der Bytecode-Instruktionen beschreiben. 

DieWnktionsweise eines Bytecode-Programms wird-ebgebildet auf ein endliches 
Zustandsiibergangssystem M. Der Zustandsraum der JVM wird auf eine endliche Menge 
von Zustanden im Zustandsiibergangssystem M abgebildet. Die Bytecode-Instruktionen 
bewirken dann Ubergange auf dieser endlichen Zustandsmenge, wobei ihre prinzipielle 

15 Wirkung erhalten bleibt. Das Zustandsiibergangssystem M wird so beschrieben, daB diese 
Beschreibung als Eingabe fur den Modelchecker dienen kann. 

Die Eingabe fur den Modelchecker besteht aus zwei Teilen: 

1. Einer als Zustandsiibergangssystem M bezeichneten Systembeschreibung, bestehend aus 
20 - einer Beschreibung des Zustandsraums, festgelegt durch die Zustandsvariablen und 
ihre Wertebereiche; 

einer Vorschrift, die die Startzustande des Systems festlegt; 
- einer Ubergangsrelation, die angibt, wie Zustande transformiert werden und unter 
welchen Bedingungen. 

25 2. Einer Menge von Spezifikationen, die als Bedingungsmenge S bezeichnet werden und 
die die gewiinschte Eigenschaften eines zulassigen Bytecode-Programms beschreiben. 
Diese Eigenschaften werden von dem Zustandsiibergangssystem M verlangt, das durch 
das Bytecode-Programm beschrieben wird. So kann die Sicherheit bei der Ausfiihrung 
des Bytecode-Programms garantiert werden. Diese Eigenschaften gelten im konkreten, 

30 unendlichen Zustandsiibergangssystem (und damit im ursprtinglichen Bytecode- 
Programm) dann, wenn sie im abstrakten, endlichen Zustandsiibergangssystem M 
gelten. Der Modelchecker priift? ob sie im abstrakten Zustandsiibergangssystem M 
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gelten. Falls dies der Fall ist, darf man schlieBen, daB die Eigenschaften auch vom 



konkreten System und damit im urspriinglichen Programm erfiillt werden. 

Die Erzeugung der erforderlichen Daten wird im folgenden beschrieben: 

Der Zustandsraum des Zustandsubergangssystems M ist aus folgenden Komponenten 

aufgebaut: 

- Einem Befehlszahler. 

Einem Operanden- Stack, der die Parameter und Ergebnisse von Instniktionen aufhimmt. 

- Einem Feld von lokalen Variablen. 
Einem Feld von globalen Variablen. 



- ^fariablen fiir das Mitfuhren von buchhalterischeruinformationen; auf diese kann 
zuriickgegriffen werden, um Eigenschaften des Systems zu beschreiben, die mit den 
librigen Komponenten nicht beschrieben werden konnen. Hierzu gehort u.a. ein 
Stack, der Informationen uber die aktiven Subroutinen (Unterprogramme in einem 
Bytecode-Programm) enthalt 
Die Werte von Variablen und Stackelementen stammen aus endlichen Wertebereichen. Der 
Befehlszahler kann eine endliche Zahl von Adresswerten annehmen. Der Operanden-Stack * 
ist in der Hohe begrenzt. Insgesamt ist der Zustandsraum von M dadurch endlich. 

Das Befehlsverzeichnis V enthalt Beschreibungen aller Bytecode-Instruktionen, bestehend 
aus folgenden Informationen je Instruktion: 

■ Die Bezeichnung der Instruktion (1 Byte). 

« Die Anzahl der Parameter in Bytes (Zeichen). 

■ Eine Beschreibung der Wirkung auf Zustande der JVM. 

■ Bedingungen, die ein Zustand der JVM erfullen muB, damit die Instruktion angewendet 
werden kann (CI). 

■ Bedingungen (C2), die die JVM erfullen muB, weil die Instruktion im Programm 
vorkommt. Diese Bedingungen beziehen sich nicht notwendigerweise auf einzelne 
Zustande, sondern auch auf Ausfiihrungspfade, d.h. Folgen von Zustanden. . 

Fiir die Bedingungen in V gilt folgende Eigenschaft (Al): Die Beschreibung der 
Bedingungen im Befehlsverzeichnis V verwendet nur solche Symbdle, die bei der 
Beschreibung des Zustandsraums fiir M verwendet werden. 
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Ein Ubersetzer erzeugt aus einem Bytecode-Programm ein endliches 
Zustandsubergangssystem. Das Bytecode-Programm liegt als Folge von Zeichen in der 
Eingabe vor, wobei ein einzelnes Zeichen als Instruktion oder Parameter einer Instruktion 
gedeutet werden kann. Das erste Zeichen wird als Instruktion gedeutet. 

5 

Ziel der Ubersetzung ist die Konstruktion eines Zustandsubergangssystems M und einer 
Bedingungsmenge S. Der UbersetzungsprozeB ist wie folgt beschrieben: 

1 . Beginne mit einem initialen ("leeren") Ubergangssystem M. Der Zustandsraum von M 
ist schon festgelegt durch die abstrakte Representation des JVM-Zustandsraums. Der 

10 Startzustand der JVM legt aber den Startzustand von M fest Es sind jedoch noch keine 

^ergange zwischen den Zustanden festgelegt. ^ 

2. Beginne mit einer leeren Bedingungsmenge S. 

3. Solange Zeichen in der Eingabe vorhanden sind, fiihre folgende Schritte 4 bis 8 durch: 

4. Lies ein Zeichen von der Eingabe; dieses bezeichnet die Prograrnminstruktion B. 
15 5. Schlage im Befehlsverzeichnis V nach, welche Parameter B benotigt, 

6. Lies die fur B benotigten Parameter P von der Eingabe. 

7. Ubergebe (B,P) an die Abstraktionskomponente. 

8. Ubergebe (B,P) an die Bedingungskomponente. 

20 Die Abstraktionskomponente erzeugt aus einer Instruktion B und zugehorigen Parametern 
P eine Menge von Zustandsubergangen. Das Zustandsubergangssystem M wird um diese 
Ubergange erweitert. 

1. Schlage im Befehlsverzeichnis V nach, welche Wirkung B auf einem Zustand der JVM 
hat. Die Wirkung ist durch eine Kegel beschrieben, so daB sich der Folgezustand der 

25 JVM aus einer Berechnung auf dem aktuellen Zustand ergibt. (Eine explizite Angabe 

der moglichen Ubergange ist nicht moglich, da die JVM uber einen (praktisch) 
unendlichen Zustandsraum verfugt.) 

2. Erzeuge daraus eine Beschreibung der Wirkung auf Zustande von M unter 
Beriicksichtigung von P. Die Parameter P gehen in die Berechnung des Folgezustands 

30 ein. Wendet man eine JVM-Regel auf einen M-Zustand an, so erhalt man eine Menge 
von M-Zustanden, die die moglichen Folgezustande der JVM reprasentieren. Es ergibt 
sich eine Menge von Folgezustanden fiir M, da nicht die konkreten Werte in P, sondern 
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nur die fur M relevanten Informationen betrachtet werden. Welcher JVM-Folgezustand 
bei Ausfuhrung des Bytecode-Programms tatsachlich eingenommen wird, hangt von den 
konkreten Werten in P ab. 
3 . Diese Beschreibung legt eine Menge von Zustandsubergangen fest; erweitere M urn 
5 diese Ubergange. Diese Ubergange konnen durch eine Regel beschrieben oder explizit 
angegeben werden. Letzteres ist moglich, da M nur eine endliche Zahl an Zustanden 
kennt und deshalb alle Ubergange durch Zustandspaare angegeben werden konnen. 
Letztlich lehnt sich die Beschreibung daran an, was der verwendete Modelchecker 
versteht. Aus praktischen Griinden wird man eine explizite Angabe aller Ubergange 
10 vermeiden, da die Datenmenge hierfiir weit groBer ist als bei der impliziten Angabe 
^chRegeln. 

Die Bedingungskomponente erzeugt aus (B,P) eine Menge von Bedingungen, die vom 
Modelchecker letztlich zu priifen sind. Diese Bedingungen konnen auf verschiedene Art 
15 reprasentiert werden, etwa durch temporallogische Formeln. 

1 . Schlage im Befehlsverzeichnis V nach, welche Bedingungen CI an den aktuellen JVM- 
Zustand gestellt werden, damit B ausgefiihrt werden kann. 

2. Ubertrage Cl auf entsprechende M-Bedingungen. Laut (Al) sind die Bedingungen in V 
und die Zustandsbeschreibung fur M so aufeinander abgestimmt, daB Cl auf M- 

20 Zustanden interpretiert werden kann. Die Ubertragung auf M besteht im wesentlichen 

daraus, mittels P konkrete Instanzen von Cl zu erzeugen und in eine logische Formel zu 
iibersetzen. 

3. Schlage entsprechend die Bedingungen C2 nach, die fur das gesamte System M durch 
die Verwendung von B entstehen. 

25 4. Ubertrage entsprechend C2 auf M. 

5. Erweitere die Bedingungsmenge S urn die Darsteilungen fur Cl und C2. 

Die beschriebene Konstruktion des Zustandsiibergangssystems M und der 
Bedingungsmenge S fur ein zu priifendes Bytecode-Programm lauft vollautomatisch ab. Das 
30 Befehlsverzeichnis V und seine Bestandteile wird, ebenso wie der Zustandsraum von M, 
einmal festgelegt fur den bestimmten Zweck der "Bytecode-Verifikation", d.h. der 
Uberpriifung von Sicherheitseigenschaften von Bytecode-Programmen. 
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Nachfolgend wird die Arbeitsweise des Modelcheckers erlautert. 
Der Modelchecker priift fur jede Bedingung s aus der Bedingungsmenge S, ob sie vom 
Zustandsubergangssystem M erfullt ist. Falls eine Bedingung s nicht erfiillt ist, erzeugt der 
Modelchecker Informationen, die zusammen mit der Kenntnis, fur welche Instruktion s 
5 erzeugt wurde, verwendet werden kann, urn zu analysieren, wie die Bedingungen an einen 
sicheren Ablauf der JVM durch das Bytecode-Programm verletzt werden konnen. Eine 
typische Ausgabe des Modelcheckers besteht aus der Angabe eines Ausfiihrungspfades, d.h. 
einer Folge von M-Zustanden, der in einer Verletzung gewisser Bedingungen miindet. 

10 Eine genaue Analyse des Ausfiihrungspfades ist nicht notwendig. Ziel der Bytecode- 
Vert^ition ist es lediglich festzustellen, ob eine Verletzung der Bedingungen durch das 
Programm moglich ist oder nicht. Informationen uber das Wie konnen interessant sein, sind 
aber nicht notwendig, da lediglich gefordert ist, potentiell unsichere Programme 
abzuweisen. Dabei nimmt man in Kauf, auch sichere Programme abzuweisen, die zwar 

15 Bedingungen verletzen, deren genauere Analyse aber ergeben wurde, daB sie in einer 
wirklichen Umgebung keinen Schaden anrichten konnten. Da solche Programme i. allg. 
nicht durch Compiler, sondern nur durch absichtsvolle Codierung entstehen, schrankt man 
sich nicht wesentlich ein. 



20 Die Steuerung der Bytecode-Verifikation besteht in der Koordinierung der verschiedenen 
Komponenten. Eine Klassendatei wird der Bytecode-Verifikation unterzogen, indem 

1 . die Bytecode-Programme (Methoden) einzeln herausgelost werden, 

2. die Referenzen im Bytecode-Programm aufgelost werden (Vorverarbeitung), 

3 . ein Zustandssystem und eine Bedingungsmenge konstruiert wird, 
25 4. der Modelchecker mit dieser Eingabe gestartet wird; 

5. bei Erfolg des Modelcheckers wird dies fur das nachste Bytecode-Programm 
wiederholt, bei Mifierfolg wird gemeldet, daB die Bytecode-Verifikation fur die 
untersuchte Klassendatei fehlgeschlagen ist. 

Das erfindungsgemaBe Verfahren laBt sich noch in einigen Punkten erweitern. 

30 Von der Art der Abbildung eines Bytecode-Programms auf ein endliches Zustandssystem 
hangt es ab, welche Eigenschaften nachgewiesen werden konnen. Um etwa die Zulassigkeit 
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eines Bytecode-Programms festzustellen, kann die oben skizzierte Abbildung benutzt 
werden. Durch Wahl einer anderen Abstraktions- Abbildung ist es moglich, andere 
Eigenschaften nachzuweisen. Eine interessante Eigenschaft ware etwa die Beschrankung 
des Ressourcenverbrauchs eines Bytecode-Programrns auf ein gewisses MaB. 
5 Der Einsatz des erfindungsgemaBen Verfahrens erlaubt es, das sicherheitskritische Konzept 
der Bytecode-Verifikation auf einer formalen Grundlage zu implementieren. Dadurch 
erreicht man die hochstmogliche Sicherheit fur diesen Aspekt der Java-Technologie. Man 
kann envarten, da8 sich die Technik dariiberhinaus auch zum Nachweis weitergehender 
Eigenschaften von Applets einsetzen laBt, so daB ein groBerer Einsatzbereich interessant 
10 wird. 

y 

Insbesondere im Umfeld Java-fahiger Smartcards (wobei sich Java-fahig darauf bezieht, 
Bytecode-Programme ausfuhren zu konnen), wo die Sicherheitsanforderungen extrem hoch 
sind, ist diese Technik interessant. Java-fahige Smartcards erlauben es, Programme zu laden 

15 and auszufiihren, und zwar auch dann, wenn sie sich bereits im Besitz des Endkunden 
befindet (dies ist mit herkommlichen Smartcards nicht oder nur eingeschrankt moglich). 
Dabei ist es von groBter Wichtigkeit, daB nur solche Programme geladen und ausgefiihrt 
werden, die die Integritat der Karte und der darauf gespeicherten Daten nicht verletzen, 
denn der MiBbrauch solcher Daten kann erheblichen personlichen oder finanziellen Schaden 

20 anrichten. 

Durch die beschriebene Technik kann die Sicherheit von Bytecode-Programmen garantiert 
und durch zusatzliche Erweiterungen eine gewisse Funktionalitat zugesichert werden. Damit 
kann das Vertrauen in Anwendungen erhoht werdea, die auf sicherheitskritischen 
Plattformen wie Smartcards ablaufen sollen. 
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Bezugszeichenliste 

JVM Interpreter fur Java-Bytecode-Programme (Java Virtual Machine) 

M endliches Zustandsubergangssystem 

S Bedingungsmenge 

s Bedingung von S 

V Befehlsverzeichnis fur Bytecode-Instruktionen 

C 1 N ? Bedingungen, die ein Zustand de7 JVM erfiillen muB 

C2 Bedingungen, die die JVM erfiillen muB 

Al Eigenschaft, die fur Bedingungen in V gilt 

B Programminstruktion 

P Parameter fur B 
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Paten tanspriiche: 

1. Verfahren zur Prufung von Java-Bytecode-Programmen auf Sicherheitseigenschaften 
nach dem Prinzip der Bytecode-Verifikation, 
dadurch gekennzeichnet, daB 

5 a) die Funktionsweise des zu priifenden Bytecode-Programms unter Verwendung eines 
Algorithmus, der das Verhalten der Bytecode-Instruktionen beschreibt, von einem 
potentiell unendlichen Zustandsubergangssystem auf ein endliches 
Zustandsubergangssystem (M) und der Zustandsraum des Interpreters (JVM) auf eine 
endliche Menge von Zustanden im endlichen Zustandsubergangssystem (M) abgebildet 

10 wqj^n, wobei alle nicht fur die Zulassigkeit des zu griifenden Bytecode-Programms 
erforderlichen Informationen entfallen, so daB das daraus resultierende endliche 
Zustandsubergan-gssystem (M) ausschlieBlich Typinformationen zum Nachweis der 
Zulassigkeit des Bytecode-Programms enthalt, welche in einen Modelchecker eingegeben 
werden, daB 

15 b) die Eigenschaften, die ein zulassiges Bytecode -Programm kennzeichnen, in einer 

Logik in Form von Formeln erfaBt und als Bedingungsmenge (S) in den Modelchecker 
eingegeben werden, wobei der Modelchecker jede einzelne Bedingung (s) der 
Bedingungsmenge (S) als Spezifikationssprache fur Systemeigenschaften von 
Bytecode-Programmen interpretiert, und daB 

20 der Modelchecker fur jede Bedingung (s) der Bedingungsmenge (S) pruft, ob ob sie vom 
Zustandsubergangssystem (M) erfiillt ist, und daB das uberpriifte Bytecode-Programm 
automatisch zur weiteren Verarbeitung freigegeben wird, wenn das 
Zustandsubergangssystem (M) alle Bedingungen (s) der Bedingungsmenge (S) erfiillt 
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Dieser internationale Recherchenbericht wurde von der InternationaJen Recherchenbehorde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 



.-Blatter. 



Dieser internaBSipile Recherchenbericht umfaBt insgesamt _2 

PH Daruber hinaus liegt ihm jewetls eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behdrde eingereichten Obersetzung der internationaJen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

[~| in der internationalen Anmeldung in Schriflicher Form enthatten ist. 

zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 
bei der Behdrde nachtraglich in schriftlicher Form eingereicht worden ist. 
bei der Behdrde nachtraglich in computerlesbarer Form eingereicht worden ist. 



□ 
□ 
□ 
□ 



2. 
3. 



Die Erk&rung, da3 das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

I | Die Erk&rung, daft die in computerlesbarer Form erfaGten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

| | Bestimmte Anspruche haben slch als nicht recherchierbar erwiesen (siehe Feld I). 
| | Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 

Hinsichtlich der Bezeichnung der Erfindung 

[X] wird der vom Anmelder eingereichte WorHaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 
— wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behdrde festgesetzt Der 
I I Anmelder kann der BehOrde innerhaJb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu verdffentlichen: Abb. Nr. 



I | wie vom Anmelder vorgeschlagen |T] keine der Abb. 

| | weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet. 



CT/EP 99/04438 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 6 G06F11/00 



Nach der Internationalen Patentklassifikation (IPK) oder nach der nationalen Klasstfikation und der tPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 6 G06F 



Recherchierte aber nicht zum Mindestprufstoff gehorende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der internationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtt. verwendete Suchbegriffe) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie 0 



Bezelchnung der Verdffentlichung, soweit erforderiich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



0 685 792 A (AT&T CORP. ) 
6. Dezember 1995 (1995-12-06) 
Zusammenfassung 



□ 



Weitere Verdffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



□ 



Siehe An hang Patentfamilie 



° Besondere Kategorien von angegebenen Veroffentlichungen 

"A" Verdffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen 1st 

- "E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
- Anmeldedatum verdffentlicht worden ist 

V Verdffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
schetnen zu lassen, oder durch die das Verdffentlichungsdatum einer 
anderen im Recherchenbericht genannten Verdffentlichung belegt werden 
soli oder die aus einem anderen besondereh Grund angegeben ist (wie 
ausgefuhrt) 

"O" Verdffentlichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Ausstellung Oder andere MaBnahmen bezieht 

"P" Verdffentlichung, die vor dem internationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum verdffentlicht worden ist 



T" Spatere Verofferttlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffenttichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein auf grund dieser Verdffentlichung nicht ate neu oder auf 
erfinderischer Tatigkert beruhend betrachtet werden 

"Y" Verdffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Verdffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 

Verdffentlichung, die Mitgiied dersetben Patentfamilie ist 



Datum des Abschlusses der internationalen Recherche 



20. Oktober 1999 



Absendedatum des internationalen Recherchenberichts 



28/10/1999 



Name und Postanschrlft der Internationalen Recherchenbehdrde 
Europalsches Patentamt, P.a 5816 Patentlaan 2 
NL-2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Corremans, G 



FormWatt PCT/ISAA21 0 (Blatl 2) (JuD 1 992) 



i poiciK i«uiiiijr iitciiikrcto 



JfT/EP 99/04438 



Patent document 
cited in search report 



Publication 
date 



Patent family 
member(s) 



Publication 
date 



EP 685792 



06-12-1995 



CA 
JP 
US 



2147536 A 
7334566 A 
5615137 A 



02-12-1995 
22-12-1995 
25-03-1997 



.Form ECT/ISA/210 (oatent.fanttr annex) fJuhf 1992) 



VERTRAG UB^0blE INTERNATIONALE ZUSHWlM EN ARBEIT AUF DEM 

GEBIET DES PATENTWESENS 



IS^^I 



73 



PCT 



F -C : 0 1 MAY j3 



INTERNATIONALER VORLAUFIGER PRUFUNG SBER I CHT — 



(Artikel 36 und Regel 70 PCT) 



Aktenzeichen des Anmelders oder Anwalts 
P98033WO.1P 


siehe Mitteilung uber die Ubersendung des internationalen 
WEITERES VORGEHEN vorlaufigen Prufungsbericht (Formblatt PCT/IPEA/416) 


Internationales Aktenzeichen 
PCT/EP99/04438 


I nternationales Anmetdedatum (Tag/Monat/Jahr) 
25/06/1999 


Prioritatsdatum (Tag/Monat/Tag) 
26/06/1998 



Internationale Patentklassification (IPK) oder nationale Klassifikation und IPK 
G06F11/00 



Anmelder 

DEUTSCHE TELEKOM AG et al. 



1 . Dieser internationale vorlaufige Prufungsbericht wurde von der mit der international vorlaufigen Prufung beauftragte 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 



2. Dieser BERICHT umfaBt insgesamt 5 Blatter einschlieBlich dieses Deckblatts. 

□ AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich urn Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Beh6rde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT). 

Diese Anlagen umfassen insgesamt Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 



I 




Grundlage des Benefits 


II 


□ 


Prioritat 


III 


□ 


Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkett und gewerbliche Anwendbarkeit 


IV 


□ 


Mangelnde Einheitlichkeit der Erfindung 


V 


IS 


Begrundete -Feststellung nach Artikel 35(2) hinsichtlichuiei: Neuheit, der erfinderische Tatigkeit und der 
gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 


VI 


□ 


Bestimmte angefuhrte Unterlagen 


VII 




Bestimmte Mangel der internationalen Anmeldung 


VIII 


□ 


Bestimmte Bemerkungen zur internationalen Anmeldung 



Datum der Einreichung des Antrags 
10/11/1999 


Datum der Fertigstellung dieses Berichts 
28.04.2000 


Name und Postanschrift der mit der internationalen vorlaufigen 
Prufung beauftragten Behorde: 

^ Europaisches Patentamt 
Xjj) D-80298 Munchen 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Bevollmachtigter Bediensteter /^^^^ 
Bozas, I (C $ }) 

Tel. Nr. +49 89 2399 7408 



Formblatt PCT/I PEA/409 (Deckblatt) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/EP99/04438 



I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage (Ersatzblatter, die dem Anmeideamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt wurden, gelten im Rahmen dieses Berichts als "ursprunglich eingereicht" and sind ihm 
nicht beigefugt, weil sie keine Anderungen enthalten.): 

Beschreibung, Seiten: 

1-12 ursprungliche Fassung 

Patentanspruche, Nr.: 

1 ursprungliche Fassung 



2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Off enbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Ftegel 70.2(c)): 



4. Etwaige zusatzliche Bemerkungen: 



V. Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erf inderischen Tatigkeit und der 
gewerblichen Anwendbarkett; Unterlagen und Erklarungen zur Stiitzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1 

Nein: Anspruche 

2. Unterlagen und Erklarungen 
siehe Beiblatt 



Formblatt PCT/1PEA/409 (Felder I-VHI. Blatt 1) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/EP99/04438 



VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgestellt, daB die international Anmeldung nach Form oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



Formblatt PCT/1PEA/409 (Felder l-VIII, Blatt2) (Januar 1994) 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP99/04438 
PRUFUNGSBERICHT - BEIBLATT 



Zu Punkt V 

Begrundete Feststeliung nach Art ike I 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerblichen Anwendbarkeit; Unterlagen und 
Erklarungen zur Stutzung dieser Feststeliung 

1 . Es wird auf das folgende Dokument verwiesen: 
D1: EP-A-0 685 792 

2. Aufgabe der Erfindung ist es, ein Verfahren zur Prufung von Java-Bytecode 
Programmer! auf Sicherheitseigenschaften nach dem Prinzip der Bytecode- 
Verifikation bereitzustellen, mit dem eine hohere Sicherheit bei der Ausfuhrung 
von solchen Java-Bytecode Programmen gewahrleistet wird. 

Diese Aufgabe wird erfindungsgemaB dadurch gelost, daB das Java-Bytecode 
Programm einem Modelchecker ubergeben wird und von letzterem formal gepriift 
wird, ob das Programm gewisse Sicherheitseigenschaften erfullt. Urn das zu 
ermoglichen, muB zuerst eine Abbildung des im allgemeinen unendlichen 
Zustandsraums des Java-Bytecode Programms auf ein anderes geeignetes 
System mit einer endlichen Anzahl von Zustanden stattfinden, mit dem der 
Modelchecker arbeiten kann. Dies wird dadurch erreicht, daB alle Informationen, 
die nicht benotigt werden, urn festzusteilen, ob das ursprungliche Bytecode- 
Programm zulassig ist, verworfen werden. Dies geschieht dadurch, daB die 
konkreten Datenwerte des Java-Bytecode Programms durch reine 
Typinformationen ersetzt werden, Das resultierende Zustandsubergangsystem 
besitzt somit eine endliche Menge von Zustanden and kann von einem 
Modelchecker bearbeitet werden. 

Der Gegenstand der Erfindung unterscheidet sich von der Lehre des Dokuments 
D1, dadurch daB die Problematik bezuglich Sicherheit von Java-Bytecode 
Programmen weder in D1 identifiziert wird noch auf eine mogliche Losung jener 
Problematik hingewiesen wird. Obwohl die Lehre des Dokuments D1 zwar die 
Problematik der formalen Verifikation von Systemen anhand eines Modelcheckers 
im allgemeinen identifiziert, und einen Algorithmus offenbart, wie man den 



Formblatt PCT/BeibIatt/409 (Blatt 1) (EPA- April 1997) 



1NTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP99/04438 
PRUFUNGSBERICHT - BEIBLATT 



Zustandsraum solcher zu verifizierenden Systemen reduzieren kann, wird kein 
Hinweis gegeben, wie der in D1 beschriebene Algorithmus in dem konkreten Fall 
auf die Prufung der Sicherheiteigenschaften von Java-Bytecode Programmen 
angewendet werden kann. Vor allem, wird kein Hinweis gegeben, daB eine 
Reduzierung des Zustandsraums des Java-Bytecode Programms durch 
Ersetzung der konkreten Datenwerte durch reine Typinformationen erzielt werden 
kann. 

Die vorliegende internationale Anmeldung erfullt somit die Erfordernisse der 
Artikel 33(2) und (3) PCT hinsichtlich Neuheit und erfinderischer Tatigkeit. 

Zu Punkt VII 

Bestimmte Mangel der internationalen Anmeldung 

1 . Im Widerspruch zu den Erfordernissen der Regel 5.1 a) ii) PCT wurden in der 
Beschreibung weder der in dem Dokument D1 offenbarte einschlagige Stand der 
Technik noch dieses Dokument angegeben. 

2. Der unabhangiger Anspruch 1 ist zwar in der zweiteiligen Form abgefaBt; alle 
Merkmale auBer "wobei alle nicht fur die Zulassigkeit ... welche in einen 
Modelchecker eingegeben werden" sind aber unrichtigerweise im kennzeich- 
nenden Teil aufgefiihrt, da sie im Dokument D1 offenbart wurden (Regel 6.3 b) 
PCT). 

3. Folgende Schreibfehler der internationalen Anmeldung sollten korrigiert werden: 

(a) Im Anspruch 1, Zeile 12, sollte "Zustandsubergangssystem" in 
"Zustandsubergangssystem" korrigiert werden. 

(b) Im Anspruch 1 , Zeile 20, sollte "ob ob" in "ob" korrigiert werden. 



Formblatt PCT/Beiblatt/409 (Blalt 2) (EPA-Aprii 1997) 



» 4 



VERTR^fc UBER DIE INTERNATIONALE . 

AUF DEM GEBIET DES PATEN 



# 

ITWE 



'AMMENARBEIT 
ESENS 



PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 1 8 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 

P98033W0.1P 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 
WAnrcuri Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/EP 99/04438 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

25/06/1999 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

26/06/1998 


Anmelder 

DEUTSCHE TELEKOM AG et al . 



Dieser international Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser intemationale Recherchenbericht umfaGt insgesamt _2 Blatter 

Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unteriagen zum Stand der Technik bei. 



Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die intemationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofem unter diesem Punkt nichts anderes angegeben ist. 

□ 



b. 



2. 
3. 



Die intemationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Obersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Amlnosauresequenz ist die intemationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 
I | in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

I I zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

I I bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

I I bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

Q Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt 

□ 

Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Seauenzorotokoll entSDrechen 
wurde vorgelegt. 

I I Bestimmte Anspruche haben slch als nicht recherchierbar erwiesen (siehe Feld I). 
I | Mangelnde Elnheitlichkelt der Erfindung (siehe Feld II). 

Hinsichtlich der Bezelchnung der Erfindung 

PH wird der vom Anmelder eingereichte Wortiaut genehmigt. 
[ | wurde der Wortiaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

[Y] wird der vom Anmelder eingereichte Wortiaut genehmigt. 

□ wurde der Wortiaut nach Regel 38.2b) in der in Feld Hi angegebenen Fassung von der Behorde festgesetzt. Der 
Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 
Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu verdffentlichen: Abb. Nr. 



Q wie vom Anmelder vorgeschlagen [X| keine der Abb. 

I I weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
I I weil diese Abbildung die Erfindung besser kennzeichnet. 



Formblatt PCT/ISA/210 (Blatt 1) (Juli 1998) S*? 6 / f &0 £1 



INTERNATIONAL* RECHERCHENBERICHT 



ernatlonates Aktenzelchen 

PCT/EP 99/04438 



A. KLASSIFIZ1ERUNG DES ANMELDUNGSGEGENST ANDES 

IPK 6 G06F11/00 



Nach der Internationalen Patent klassifikation (IPK) oder nach der nationalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestpriifstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 6 G06F 



Recherchierte aber nicht zum Mindestpriifstoft gehdrende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der internationalen Recherche konsuftterte elektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie* Bezeichnung der Veroffentlichung, soweit erforderlich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



EP 0 685 792 A (AT&T CORP. ) 
6. Dezember 1995 (1995-12-06) 
Zusammenf assung 



□ 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



' Besondere Kategorien von angegebenen Veroffentlichungen 
A" Veroffentlichung. die den allgemeinen Stand der Technik definiert. 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument. das jedoch erst am oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

Veroffentlichung, die geeignet ist. einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Verdftentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefiihrt) 

l O" Veroffentlichung. die sich auf eine miindliche Offenbarung. 

eine Benutzung, eine Ausstellung oderandere MaRnahmen bezieht 
P" Veroffentlichung, die vor dem internationalen Anmeldedatum. aber nach 

dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



T" Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert. sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 

Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der internationalen Recherche 



20. Oktober 1999 



Absendedatum des internationalen Recherchenberichts 



28/10/1999 



Name und Postanschrift der Internationalen Recherchenbehorde 
Europaisches Patentamt. P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 



Bevollmacntrgter Bediensteter 



Corremans, G 



Formblatt PCT/1SA/210 (Btatt 2) (JuU 1992) 



INTERNATIONA 

Angaben zu Veroffentlichi 



RECHERCHENBERICHT 

W, die zur set ben Patentfamilie gehoren 



nternationales Aktenzeichen 

PCT/EP 99/04438 



lm Recherchenberieht 
angef unites Patentdokument 


Datum der 
VerSffentlichung 


Mitglied(er) der 
Patentfamilie 


Datum der 
Veroffentlichung 


EP 685792 A 


06-12-1995 


CA 


2147536 


A 


02-12-1995 






JP 


7334566 


A 


22-12-1995 






US 


5615137 


A 


25-03-1997 



Fonmblatt PCT/1SA/210 (Anhang Patent1amPio)<Juli 1992) 



A* 



PATENT COOPERATION TUBATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

(PCT Article 36 and Rule 70) 



Applicant's or agent *s file reference 
P98033WO.1P 


See Notification of Transmittal of International 
FOR FURTHER ACTION p reHminary Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 


International filing date {day /month/year) 


Priority date {day /month/year) 


PCT/EP99/04438 


25 June 1999 (25.06.99) 
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I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

| | the international application as originally filed. 

the description, pages 1-12 , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of 



^ the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



, as originally filed, 

, as amended under Article 1 9, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



| | the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

1 | the description, pages 

1 I the claims, Nos. 



I I the drawings, sheets/fig 



^ I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
' — ' to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

1. This report makes reference to the following 
document : 



Dl: EP-A-0 685 792. 



2. The problem addressed by the invention is that of 
providing a method for checking Java byte code 
programs for security characteristics according to 
the principle of byte code verification with which 
higher security is ensured when Java byte code 
programs of this type are used. 

This problem is solved according to the invention in 
that the Java byte code program is supplied to a 
model checker which formally checks whether the 
program fulfills certain security characteristics. In 
order for this to be possible, the generally infinite 
state space, of the Java byte code program must first 
be imaged in another suitable system with a finite 
number of states with which the model checker can 
function. This is achieved by discarding all 
information which is not necessary for determining 
whether the original byte code program is acceptable. 
This takes place in that the concrete data values of 
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the Java byte code program are replaced by pure model 
information. The resulting status transition system 
thus has a finite amount of states and is compatible 
with a model checker. 



The subject matter of the invention differs from the 
teaching of Dl in that the problem of security of 
Java byte code programs is not identified in Dl and 
that document does not suggest a possible solution to 
the specified problem. Although the teaching of Dl 
identifies, in general, the problem of formal 
verification of systems using a model checker and 
discloses an algorithm as to how the state space of 
these systems to be verified can be reduced, there is 
no mention of how the algorithm described in Dl can 
be used to check security characteristics of Java 
byte code programs. Most importantly, it is not 
suggested that the state space of the Java byte code 
program can be reduced by replacing the concrete data 
values by pure model information. 



The present international application therefore meets 
the requirements of PCT Article 33(2) and (3) with 
regard to novelty and inventive step. 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Jrernational application No. 
PCT/EP 99/04438 



VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

1. Contrary to PCT Rule 5.1(a) (ii), the description 
does not cite Dl or indicate the relevant prior art 
disclosed therein. 

2. Independent Claim 1 has been drafted in the two-part 
form; all features except for "all the information 
which is not necessary for accepting . . . which is 
entered into a model checker" are, however, 
incorrectly included in the characterizing part, 
since they were already disclosed in Dl (PCT Rule 

6. 3 (b) ) . 

3. The following typing errors in [the German text of] 
the international application should be corrected: 

(a) The hyphen should be deleted from the word 
written as " Zustandstibergan-gssystem" in Claim 1, 
line 12. 

(b) In Claim 1, line 20, " ob ob" should be corrected 
to "ob" . 
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